OWASP 威脅和保護矩陣 (TaSM)

2021-12-29 網絡安全風雲榜
介紹

威脅和保護矩陣或 (TaSM) 是一種面向行動的視圖,用於保護和支持Ross Young創建的業務。簡而言之,如果 Cyber 從事收入保護業務,那麼我們需要制定縱深防禦計劃,以應對我們公司面臨的最大威脅。該矩陣允許公司使用 NIST 網絡安全功能(識別、保護、檢測、響應和恢復)覆蓋其主要威脅,以構建強大的安全計劃。執行此活動的組織將更好地了解如何保護他們的公司,因為他們填寫了減輕重要威脅的保護措施。記住魔鬼在細節中,因此我們選擇了塔斯馬尼亞魔鬼作為項目標誌。

示例:如果您縱觀信息安全行業,您會注意到針對公司的最大數據洩露通常涉及網絡釣魚、勒索軟體、Web 應用程式攻擊和供應商/合作夥伴數據丟失。請注意,您可以將其他人添加到矩陣中,例如內部威脅或您的環境獨有的任何內容。

以下是您可以制定縱深防禦計劃以減輕公司這些威脅的一種方法。

向計劃添加指標

現在您已經構建了您的 TaSM,重要的是查看您列出的保護措施。並非每項保障措施都同樣重要。如果一切都很重要,那麼沒有什麼是真正重要的。想一想您作為一個組織要關注的保障措施。這些可能是阻止威脅最有效的方法。這些保護措施也可能是您最有機會改進的地方。選擇一些可以放置關鍵指標的保護措施,並通過添加一個紅框來突出顯示它們。這將允許您將進度從您的指標映射到您的 TaSM。記住什麼得到衡量就完成了,完成了什麼得到了資助。

創建網絡報告卡

在概述您想要改進的保障措施之後,您的組織應該創建一些關鍵指標和記分卡。這個例子有一些需要注意的地方,但可以隨意修改。1) 按技術、人員和流程對事物進行分組,以展示如何利用組織的多個領域。2)按季度顯示進度。如果新季度有所改善,則將進度標記為綠色,如果下降,則將其標記為紅色,如果沒有取得進展,則將其標記為黃色。3) 目標有多種形狀和大小,應不時重新評估。目標可能是理想的,例如 0 漏洞。雖然 100% 的客戶滿意度或 0 漏洞等理想目標可能無法實現,但它們顯示了組織想要的趨勢。最後,使用您的記分卡講述一個可以與執行領導團隊分享的故事。請注意,這個故事是虛構的,並不反映真實的公司。

示例:此記分卡標識 XYZ 組織的風險狀況。如您所見,我們顯示我們的大多數伺服器大約有 9 個高危漏洞。雖然這些漏洞數量高於預期,但我們觀察到修補通常平均在 15 天內完成。我們現在對我們的修補程序感到很舒服。我們要強調的一個領域是,只有 50% 的軟體團隊計劃在即將到來的衝刺計劃會議期間解決軟體缺陷和漏洞。我們認為這個指標可以在下個季度得到改善,以降低我們的整體風險狀況。我們將採取 XYZ 行動來幫助改進這一指標。最後,我們想指出並非所有應用程式的關鍵程度都相同;這就是我們高度關注勒索軟體防禦的原因。今天,我們注意到我們 100% 的應用程式都可以執行災難恢復練習,但是我們的 SOX 報告中列出的具有重要財務意義的應用程式沒有隻讀備份。我們認為這是一個值得關注的關鍵領域,並將在年底前專注於 100% 的合規性。我們還將專注於 XYZ 計劃以……

使用 TaSM 增強威脅建模

當我們尋找在組織中應用 TaSM 的其他方法時,可以利用 TaSM 的一種方法是在威脅模型中。示例:開發人員團隊可以將顯示關鍵屬性(例如(加密層、訪問控制方法和數據類型))的數據流圖與 TaSM 結合使用,以確定項目中的關鍵問題。由於架構審查委員會看到在威脅模型討論期間使用了大量 TaSM,架構師可能會確定需要企業解決方案的常見威脅或保護措施。

使用 TaSM 幫助改進風險委員會

由於網絡威脅不是唯一的威脅類型,我們還應該研究如何在風險委員會中更廣泛地採用 TaSM。所需要的只是一個額外的列來列出公司內的組織。想像一下,如果每個組織都分享他們的前 3-5 個威脅。您的風險委員會可以展示公司如何以一致、充分、合理和有效的方式減輕其最大威脅。此外,它還允許委員會合作以從多個角度解決威脅。示例:網絡如何利用人力資源和法律流程來幫助應對造成品牌損害的網絡釣魚攻擊。

這些條款是什麼意思?

為確保正確使用 TaSM,請務必了解矩陣中使用的術語的定義

威脅

CNSS 將威脅定義為可能對組織運營產生不利影響的任何事件。可在此處找到常見威脅類型的示例STRIDE-LM

NIST 函數

5 個 NIST 網絡安全框架功能允許您創建縱深防禦策略,以確定您將如何保護業務。

1) 識別 識別功能有助於形成對管理系統、人員、資產、數據和能力風險的組織理解。關鍵目標:確定所有容易受到此類威脅的人員、流程或系統。

2) 保護 保護功能支持限制或遏制威脅影響的能力。關鍵目標:如何通過消除或阻止漏洞來限制攻擊的威脅

3) 檢測 檢測功能定義活動以及時識別事件的發生。關鍵目標:如果您無法阻止威脅(即保護階段),您怎麼知道它正在發生,並且您的公司正在遭受傷害

4) 響應 響應功能包括與事件相關的適當活動,以儘量減少影響。關鍵目標:如果威脅已經實現,您如何防止額外的經濟損失、聲譽損失、不合規或侵犯隱私

5) 恢復 恢復功能包括確定適當的活動以維持彈性計劃並恢復在網絡安全事件期間受損的服務。關鍵目標:您如何達到與事件發生前相同或更好的狀態

保障措施

保護措施是減少信息系統脆弱性的措施、設備、程序、技術或其他措施。與安全控制和對策同義。隨意使用這些列表作為起點:

消息連結:

https://owasp.org/www-project-threat-and-safeguard-matrix/

相關焦點

  • Threat Dragon:一款針對OWASP的威脅模型構建平臺
    OWASP Threat DragonThreat Dragon是一個免費的、開源的、跨平臺的威脅模型構建應用,其中包含了系統圖表和支持威脅
  • 齊次矩陣和齊次坐標
    在機器人及自動駕駛中,經常用齊次變換矩陣將旋轉和平移進行統一。「齊次坐標表示是計算機圖形學的重要手段之一,它既能夠用來明確區分向量和點,同時也更易用於進行仿射(線性)幾何變換。」—— F.S. Hill, JR齊次坐標就是將一個原本n維的向量用一個n+1維的向量來表示,是指一個用於投影幾何裡的坐標系統,如同用於歐氏幾何裡的笛卡兒坐標一般。
  • 一鍵開啟及關閉Win10隱私保護及病毒和威脅防護
    小騎士給大家提供的這款工具:「Windows 10 隱私保護及病毒和威脅防護」,可以輕鬆地一鍵關閉開啟Windows Defender。實機及虛擬機上測試過,如果大家在使用過程中發現什麼問題請多多包涵。軟體要以「管理員身份運行」,否則有的設置因權限問題更改無效!!!
  • 談談 SVD++ 和 概率矩陣分解
    協同過濾是一種通過分析用戶的歷史數據來建立用戶和商品之間聯繫的方法。隱含因子模型什麼是隱含因子模型?隱含因子模型即為將商品和用戶映射到同樣的隱含因子空間中,使得它們之間可以直接比較。最常用的方法即為SVD。
  • 中國軍隊改革與矩陣型組織管理
    軍隊採用矩陣型組織結構,矩陣的「橫軸」——各軍種部負責提供不同專業的、訓練有素的作戰力量;矩陣的「縱軸」——戰區指揮機構被賦予作戰籌劃和組織指揮的職權,以更加靈敏地對安全威脅環境作出反應(見下圖)。冷戰結束後,世界由兩極格局向局部的、多樣的、複雜的多元格局轉變,因此動用無限資源應對全面威脅的戰略思路也相應向動用有限資源解決有限威脅轉變。
  • 推薦系統 | 矩陣分解(SVD)原理和實戰
    三者均用於矩陣降維。其中:特徵分解可用於主成分分析。奇異值分解(SVD)和隱語義模型(LFM)可用於推薦系統中,將評分矩陣補全、降維。一.SVD2.1 定義SVD也是對矩陣進行分解,但是和特徵分解不同,SVD並不要求要分解的矩陣為方陣。
  • 【經典評論】中國軍隊改革與矩陣型組織管理
    因在職能型組織的垂直層次結構中疊加了項目型組織的水平結構,從而一定程度上避免了兩種結構的缺陷,能夠更加充分地利用組織資源,進行更為靈活、專業的運營。軍隊採用矩陣型組織結構,矩陣的「橫軸」——各軍種部負責提供不同專業的、訓練有素的作戰力量;矩陣的「縱軸」——戰區指揮機構被賦予作戰籌劃和組織指揮的職權,以更加靈敏地對安全威脅環境作出反應(見下圖)。
  • 基於矩陣的故障樹分析方法
    例如共有6個底事件,則序號為3的底事件可轉化為矩陣[001000]。用列數為n 的矩陣代表故障樹的頂事件和中間事件,它們由其輸入事件矩陣間的運算生成。定義「與」運算為矩陣的相加,即將多個矩陣每行分別依次相加生成新矩陣,則新矩陣的行數為所有矩陣行數的積,矩陣經過「與」運算後如果出現大於1的元素,將此元素賦值為1。
  • ggcor包組合相關矩陣和Mantel相關圖的嘗鮮
    ggcor包組合相關矩陣和Mantel相關圖的嘗鮮聽說最近這個圖很火(圖B)?
  • 休伯利安日誌:矩陣探索
    在艦長的指揮官等級達到9級並加入或創建了艦團後,便會解鎖「矩陣探索」。通過「矩陣探索」艦長們可以獲得大量遊騎兵聲望、狂暴晶片和吼姆寶藏。「矩陣探索」的出擊不消耗體力,但每一層都需要消耗一個道具「艦團燃料」。「艦團燃料」可以通過艦團商店和完成艦團的回收委託任務獲得。
  • 矩陣探索攻略
    矩陣探索已經開放一段時間了,不知道各位還有困擾的地方嗎?下面我來為大家寫一篇攻略(霧)。吼辣寶藏(數量隨機掉落) 遊騎兵的聲望(3/4/5) 狂暴晶片(隨機掉落)難度3——探索值(30)吼辣寶藏(數量隨機掉落) 吼喔寶藏(數量隨機掉落) 遊騎兵的聲望(5/6/7) 狂暴晶片(隨機掉落)難度4——探索值(40)吼辣寶藏(數量隨機掉落)吼喔寶藏(數量隨機掉落)遊騎兵的聲望(6/7/8/9)狂暴晶片(隨機掉落)在優化後的矩陣探索中
  • 姿態解算進階之理解旋轉矩陣(也稱方向餘弦矩陣)
    旋轉矩陣為何五花八門關於旋轉矩陣的基本原理 Sugar 就不再重寫了,網上非常多。有初學的讀者問 Sugar 這樣一個問題:剛學,基礎不太好,很勤奮的去網上找講基礎知識的文章,發現同類內容不同的文章講得不一樣,卻又都是看起來很對的樣子,究竟學哪個才是對的?Sugar 回答是:寫出來的文章在其文章本身環境下基本不會出錯。
  • (加餐)歐拉角及矩陣旋轉
    Preliminaries剛體是指在運動中受力作用後,形狀和大小不變,而且內部各點的相對位置不變的物體。剛體是理想模型,合理的理想化模型有助於簡化複雜系統分析。分析剛體運動是後續非剛體運動分析的基礎,這是因為可以將人體等非剛體運動視作一系列剛體運動的組合,從而簡化人體等微都卜勒特徵分析。一般的,剛體的運動可以表述為平移和旋轉的組合。
  • 何為安索夫矩陣
    市場鞏固(Consolidation)—— 以現有的市場和產品為基礎,以鞏固市場份額為目的,採用產品差異化戰略來加強客戶忠誠度。同時,當市場份額總體有所下降時,縮小規模和縮減部門成為不可避免的應對措施。通常,Consolidation在安索夫矩陣中與Market Penetration佔據同一格。安索夫矩陣的橫軸是客戶的新舊,縱軸是產品的新舊。
  • 戰略分析的工具 ———BCG矩陣
    波士頓諮詢集團矩陣(Boston consulting group matrix),即BCG矩陣工具是第三個幫助管理者進行內外部信息匹配的戰略工具。BCG矩陣是為多業務經營的企業而專門設計的決策方法,該方法通過考察各業務線條對其他業務線條的相對市場份額以及產業增長速度,而管理企業的業務組合。
  • 雲原生安全技術分享|ATT&CK威脅檢測技術在雲工作負載的實踐
    隨著雲計算、雲原生技術的蓬勃發展,越來越多的業務正以數位化的形態運轉在以主機和容器為代表的雲工作負載上。從日益新增的新型攻擊威脅來看,保護雲工作負載安全將成為今後網絡安全防護的關鍵。盡道「輸攻墨守」(只要有一種攻擊的戰術,就會有防守的方法)。兼具系統性和詳細性的ATT&CK知識庫可幫助網絡空間安全從業者評估、強化安全產品的能力,掌握主動權。
  • MATLAB-01 基本操作與矩陣輸入
    %A([1 3;1 3]) 分別找出第 1和第3個元素,遇到分號 換行,再重新找第1和第3個元素%A(3,2) 找出A矩陣中第3行第2列的元素  找出2%A([1 3],[1 3]) 找出第一行第三行,找出第一列和第三列,再找出相交的元素
  • 什麼是矩陣型組織機構
    矩陣型的組織機構是一種目標型的組織,是以除了正常的組織機構之外,還會以完文/任康磊矩陣型的組織機構是一種目標型的組織,是以除了正常的組織機構之外,還會以完成某項具體工作為目的而組成臨時的工作小組的組織形式。
  • 用 Python 畫夢想矩陣
    你好,我是林驥。
  • 盛名之下-論BCG矩陣的應用局限
    業務戰略是考慮在業務領域選定後如何競爭,也就是How to Win的問題。波特為業務戰略提供了一系列選項,卻無法回答公司層面的整體布局。這時,很多人會想到業務組合矩陣,或稱BCG矩陣,一種著名的多業務分析工具。這個矩陣被創造的時間比波特五力模型還要早,但它的生命力甚至有過而無不及。